A DKIM használata az egyéni tartományból küldött kimenő e-mailek ellenőrzéséhez

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Office 365-höz készült Microsoft 365 Defender 2. csomagjának funkcióit? Használja az Office 365-höz készült Defender 90 napos próbaverzióját a Microsoft 365 Defender portál próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

A következőkre vonatkozik:

• Exchange Online Védelmi szolgáltatás
• Office 365-höz készült Microsoft Defender 1. és 2. csomag
• Microsoft 365 Defender

Ez a cikk a DomainKeys Identified Mail (DKIM) és a Microsoft 365 használatának lépéseit ismerteti annak biztosításához, hogy a cél levelezőrendszerek megbízzanak az egyéni tartományból kimenő üzenetekben.

A témakör tartalma

• Hogyan működik jobban a DKIM, mint az SPF önmagában, hogy megakadályozza a rosszindulatú hamisítást
• A DKIM Microsoft 365 Defender portálon történő létrehozásának, engedélyezésének és letiltásának lépései
• Az 1024 bites kulcsok 2048 bites DKIM titkosítási kulcsra való manuális frissítésének lépései
• A DKIM manuális beállításának lépései
• A DKIM több egyéni tartományhoz való konfigurálásához szükséges lépések
• Egyéni tartomány DKIM-aláírási szabályzatának letiltása
• A DKIM és a Microsoft 365 alapértelmezett viselkedése
• Állítsa be a DKIM-et úgy, hogy egy külső szolgáltatás e-maileket küldjön vagy hamisítson az egyéni tartomány nevében
• Következő lépések: A DKIM beállítása után Microsoft 365

Megjegyzés

Microsoft 365 automatikusan beállítja a DKIM-et a kezdeti "onmicrosoft.com" tartományokhoz. Ez azt jelenti, hogy semmit sem kell tennie a DKIM beállításához egyetlen kezdeti tartománynévhez sem (például litware.onmicrosoft.com). A tartományokkal kapcsolatos további információkért lásd a tartományokra vonatkozó gyakori kérdéseket.

A DKIM a hitelesítési módszerek (SPF, DKIM és DMARC) egyike, amelyek segítenek megakadályozni, hogy a támadók olyan üzeneteket küldjenek, amelyek úgy néznek ki, mintha az Ön tartományából származnának.

A DKIM lehetővé teszi digitális aláírás hozzáadását a kimenő e-mailekhez az üzenet fejlécében. A DKIM konfigurálásakor engedélyezi, hogy a tartománya kriptográfiai hitelesítéssel rendelje hozzá vagy írja alá a nevét egy e-mail üzenethez. A tartományából e-maileket fogadó levelezőrendszerek ezzel a digitális aláírás használatával ellenőrizhetik, hogy a bejövő e-mailek valódiak-e.

Alapszinten a titkos kulcs titkosítja a tartomány kimenő e-mailjeinek fejlécét. A nyilvános kulcs közzé van téve a tartomány DNS-rekordjaiban, és a fogadó kiszolgálók használhatják ezt a kulcsot az aláírás dekódolásához. A DKIM-ellenőrzés segít a fogadó kiszolgálóknak meggyőződni arról, hogy az e-mail valóban az Ön tartományából érkezik, és nem az Ön tartományát hamisítással.

Tipp

Az egyéni tartományhoz tartozó DKIM-ről sem tehet semmit. Ha nem állítja be a DKIM-et az egyéni tartományhoz, Microsoft 365 létrehoz egy privát és egy nyilvános kulcspárt, engedélyezi a DKIM-aláírást, majd konfigurálja az egyéni tartomány Microsoft 365 alapértelmezett szabályzatát.

A Microsoft-365 beépített DKIM-konfigurációja a legtöbb ügyfél számára elegendő lefedettséget biztosít. Az egyéni tartományhoz azonban manuálisan kell konfigurálnia a DKIM-et a következő esetekben:

• Több egyéni tartománya van a Microsoft 365
• A DMARC-t is be fogja állítani (ajánlott)
• Szabályozni szeretné a titkos kulcsot
• Testre szeretné szabni a CNAME rekordokat
• Külső tartományból származó e-mailekhez szeretne DKIM-kulcsokat beállítani, például ha külső csoportos levelezőprogramot használ.

Hogyan működik jobban a DKIM, mint az SPF önmagában, hogy megakadályozza a rosszindulatú hamisítást

Az SPF adatokat ad hozzá egy üzenetborítékhoz, de a DKIM titkosítja az aláírást az üzenetfejlécen belül. Üzenet továbbításakor az üzenet borítékjának egyes részeit a továbbító kiszolgáló eltávolíthatja. Mivel a digitális aláírás megmarad az e-mail-üzenetben, mert az az e-mail fejlécének része, a DKIM akkor is működik, ha egy üzenetet továbbítottak az alábbi példában látható módon.

Ebben a példában, ha csak egy SPF TXT rekordot tett közzé a tartományához, a címzett levelezési kiszolgálója levélszemétként jelölhette meg az e-mailt, és téves pozitív eredményt adhatott. Ebben a forgatókönyvben a DKIM hozzáadása csökkenti a hamis pozitív levélszemét-jelentéskészítést. Mivel a DKIM nyilvános kulcsú titkosításra támaszkodik a hitelesítéshez és nem csak az IP-címekhez, a DKIM sokkal erősebb hitelesítési forma, mint az SPF. Javasoljuk az SPF és a DKIM, valamint a DMARC használatát az üzemelő példányban.

Tipp

A DKIM titkos kulccsal szúr be egy titkosított aláírást az üzenetfejlécekbe. Az aláíró tartomány vagy kimenő tartomány a fejléc d = mezőjének értékeként lesz beszúrva. Az ellenőrző tartomány vagy a címzett tartománya ezután a d= mező használatával megkeresi a nyilvános kulcsot a DNS-ből, és hitelesíti az üzenetet. Ha az üzenet ellenőrizve van, a DKIM-ellenőrzés sikeres lesz.

A DKIM Microsoft 365 Defender portálon történő létrehozásának, engedélyezésének és letiltásának lépései

A bérlő összes elfogadott tartománya megjelenik a Microsoft 365 Defender portálon a DKIM lap alatt. Ha nem látja, adja hozzá az elfogadott tartományt a Tartományok lapról. A tartomány hozzáadása után kövesse az alábbi lépéseket a DKIM konfigurálásához.

1. lépés: Kattintson a DKIM konfigurálni kívánt tartományra a DKIM lapon (https://security.microsoft.com/dkimv2 vagy https://protection.office.com/dkimv2).

2. lépés: Csúsztassa a kapcsolót engedélyezésre. Megjelenik egy előugró ablak, amely szerint CNAME rekordokat kell hozzáadnia.

3. lépés: Az előugró ablakban megjelenő CNAMES másolása

4. lépés: Tegye közzé a másolt CNAME rekordokat a DNS-szolgáltatónál.

A DNS-szolgáltató webhelyén adja hozzá az engedélyezni kívánt DKIM CNAME rekordjait. Győződjön meg arról, hogy a mezők a következő értékekre vannak beállítva mindegyiknél:

Record Type: CNAME (Alias)
> Host: Paste the values you copy from DKIM page.
Points to address: Copy the value from DKIM page.
TTL: 3600 (or your provider default)

5. lépés: Térjen vissza a DKIM oldalára a DKIM engedélyezéséhez.

Ha azt látja, hogy a CNAME rekord nem létezik, annak oka a következő lehet:

1. A DNS-kiszolgálóval való szinkronizálás néhány másodpercig vagy akár órákig is eltarthat, ha a probléma továbbra is fennáll, ismételje meg újra a lépéseket
2. Ellenőrizze, hogy vannak-e másolási beillesztési hibák, például további szóközök vagy lapok stb.

Ha le szeretné tiltani a DKIM-et, váltson vissza a letiltási módra

Az 1024 bites kulcsok 2048 bites DKIM titkosítási kulcsra való manuális frissítésének lépései

Megjegyzés

Microsoft 365 automatikusan beállítja a DKIM-et onmicrosoft.com tartományokhoz. A DKIM használatához semmilyen kezdeti tartománynévhez (például litware) nincs szükség a DKIM használatához.onmicrosoft.com). A tartományokkal kapcsolatos további információkért lásd a tartományokra vonatkozó gyakori kérdéseket.

Mivel a DKIM-kulcsok az 1024-as és a 2048-as bitet is támogatják, ezek az utasítások bemutatja, hogyan frissítheti az 1024 bites kulcsot 2048-ra Exchange Online PowerShellben. Az alábbi lépések két használati esethez tartoznak. Válassza ki azt, amelyik a legjobban megfelel a konfigurációnak.

• Ha már konfigurálta a DKIM-et, az alábbi parancs futtatásával elforgathatja a biteket:

  Rotate-DkimSigningConfig -KeySize 2048 -Identity <DkimSigningConfigIdParameter>
  

  Vagy

• A DKIM új implementációjához futtassa a következő parancsot:

  New-DkimSigningConfig -DomainName <Domain for which config is to be created> -KeySize 2048 -Enabled $true
  

Maradjon kapcsolatban Exchange Online PowerShell-lel a konfiguráció ellenőrzéséhez a következő parancs futtatásával:

Get-DkimSigningConfig -Identity <Domain for which the configuration was set> | Format-List

Tipp

Ez az új 2048 bites kulcs a RotateOnDate-en lép érvénybe, és a köztes 1024 bites kulccsal rendelkező e-maileket küld. Négy nap elteltével ismét tesztelheti a 2048 bites kulccsal (azaz miután a forgatás érvénybe lép a második választógombon).

Ha négy nap elteltével szeretné elforgatni a második választógombot, és meggyőződik arról, hogy a 2048 bites verzió használatban van, manuálisan forgassa el a második választókulcsot a fent felsorolt megfelelő parancsmag használatával.

A szintaxissal és a paraméterekkel kapcsolatos részletes információkért tekintse meg a következő cikkeket: Rotate-DkimSigningConfig, New-DkimSigningConfig és Get-DkimSigningConfig.

A DKIM manuális beállításának lépései

A DKIM konfigurálásához az alábbi lépéseket kell elvégeznie:

• Két CNAME rekord közzététele az egyéni tartományhoz a DNS-ben
• DKIM-aláírás engedélyezése az egyéni tartományhoz

Két CNAME rekord közzététele az egyéni tartományhoz a DNS-ben

Minden olyan tartományhoz, amelyhez DKIM-aláírást szeretne hozzáadni a DNS-ben, két CNAME rekordot kell közzétennie.

Megjegyzés

Ha még nem olvasta el a teljes cikket, előfordulhat, hogy elmulasztotta ezt az időtakarékos PowerShell-kapcsolati információt: Csatlakozás a PowerShell Exchange Online.

Futtassa az alábbi parancsokat Exchange Online PowerShellben a választórekordok létrehozásához:

New-DkimSigningConfig -DomainName <domain> -Enabled $false
Get-DkimSigningConfig -Identity <domain> | Format-List Selector1CNAME, Selector2CNAME

Ha a kezdeti tartományon kívül egyéni tartományokat is kiépített Microsoft 365, minden további tartományhoz két CNAME rekordot kell közzétennie. Tehát ha két tartománya van, két további CNAME rekordot kell közzétennie, és így tovább.

A CNAME rekordokhoz használja a következő formátumot.

Fontos

Ha Ön a GCC High ügyfelek egyike, a customDomainIdentifier értékét másképp számítjuk ki! Ahelyett, hogy megkeresnénk a initialDomain MX rekordját a customDomainIdentifier kiszámításához, ehelyett közvetlenül a testre szabott tartományból számítjuk ki. Ha például a testre szabott tartomány "contoso.com" lesz, a customDomainIdentifier "contoso-com" lesz, az időszakok kötőjelre lesznek cserélve. Így függetlenül attól, hogy a initialDomain melyik MX rekordra mutat, a fenti módszerrel mindig ki kell számítania a CNAME rekordokban használandó customDomainIdentifier értéket.

Host name:            selector1._domainkey
Points to address or value:    selector1-<customDomainIdentifier>._domainkey.<initialDomain>
TTL:                3600

Host name:            selector2._domainkey
Points to address or value:    selector2-<customDomainIdentifier>._domainkey.<initialDomain>
TTL:                3600

Hely:

• A Microsoft 365 esetében a választók mindig "selector1" vagy "selector2" lesznek.

• A customDomainIdentifier ugyanaz, mint a customDomainIdentifier az egyéni tartomány egyéni MX rekordjában, amely mail.protection.outlook.com előtt jelenik meg. A tartomány contoso.com következő MX rekordjában például a customDomainIdentifier a contoso-com:

  contoso.com. 3600 IN MX 5 contoso-com.mail.protection.outlook.com

• A initialDomain az a tartomány, amelyet a Microsoft 365 való regisztrációkor használt. A kezdeti tartományok mindig onmicrosoft.com végződnek. A kezdeti tartomány meghatározásával kapcsolatos információkért tekintse meg a tartományokra vonatkozó gyakori kérdéseket.

Ha például van egy kezdeti tartománya cohovineyardandwinery.onmicrosoft.com, és két egyéni tartománya cohovineyard.com és cohowinery.com, akkor minden további tartományhoz két CNAME rekordot kell beállítania, összesen négy CNAME rekordhoz.

Host name:            selector1._domainkey
Points to address or value:    selector1-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:            selector2._domainkey
Points to address or value:    selector2-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:            selector1._domainkey
Points to address or value:    selector1-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:            selector2._domainkey
Points to address or value:    selector2-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Megjegyzés

Fontos létrehozni a második rekordot, de a létrehozáskor csak az egyik választó érhető el. A második választó lényegében olyan címre mutathat, amely még nem lett létrehozva. Továbbra is javasoljuk, hogy hozza létre a második CNAME rekordot, mert a kulcsrotálás zökkenőmentes lesz.

DKIM-aláírás engedélyezésének lépései az egyéni tartományhoz

Miután közzétette a CNAME rekordokat a DNS-ben, készen áll arra, hogy engedélyezze a DKIM-aláírást Microsoft 365. Ezt a Microsoft 365 Felügyeleti központ vagy a PowerShell használatával teheti meg.

DKIM-aláírás engedélyezése az egyéni tartományhoz a Microsoft 365 Defender portálon

1. A Microsoft 365 Defender portálOn https://security.microsoft.comlépjen az E-mail & együttműködési > szabályzatok & Szabályok > veszélyforrás-szabályzatok > DKIM-fájlja elemre a Szabályok szakaszban. Ha közvetlenül a DKIM lapra szeretne lépni, használja a következőt https://security.microsoft.com/dkimv2: .

2. A DKIM lapon a névre kattintva jelölje ki a tartományt.

3. A megjelenő részletes úszó panelen módosítsa a tartományhoz tartozó Üzenetek aláírása beállítást a DKIM-aláírások beállításával engedélyezve (

   Ha végzett, kattintson a DKIM-kulcsok elforgatása gombra.

4. Ismételje meg ezeket a lépéseket minden egyéni tartomány esetében.

5. Ha első alkalommal konfigurálja a DKIM-et, és a "Nincs DKIM-kulcs mentve ehhez a tartományhoz" hibaüzenet jelenik meg, Windows PowerShell kell használnia a DKIM-aláírás engedélyezéséhez a következő lépésben leírtak szerint.

DKIM-aláírás engedélyezése az egyéni tartományhoz a PowerShell használatával

Fontos

Ha első alkalommal konfigurálja a DKIM-et, és a "Nincs DKIM-kulcs mentve ehhez a tartományhoz" hibaüzenet jelenik meg, Set-DkimSigningConfig -Identity contoso.com -Enabled $truehajtsa végre az alábbi 2. lépésben található parancsot (például) a kulcs megtekintéséhez.

1. Csatlakozás a PowerShell Exchange Online.

2. Használja a következő szintaxist:

   Set-DkimSigningConfig -Identity <Domain> -Enabled $true
   

   <Domain> A annak az egyéni tartománynak a neve, amelyhez engedélyezni szeretné a DKIM-aláírást.

   Ez a példa engedélyezi a DKIM-aláírást a tartomány contoso.com:

   Set-DkimSigningConfig -Identity contoso.com -Enabled $true
   

Annak ellenőrzése, hogy a DKIM-aláírás megfelelően van-e konfigurálva Microsoft 365

Várjon néhány percet, mielőtt az alábbi lépéseket követve ellenőrizheti, hogy megfelelően konfigurálta-e a DKIM-et. Ez lehetővé teszi, hogy a tartományra vonatkozó DKIM-információk el legyenek osztva a hálózaton.

• Küldjön üzenetet a Microsoft 365 DKIM-kompatibilis tartomány egyik fiókjából egy másik e-mail-fiókba, például outlook.com vagy Hotmail.com.

• Ne használjon aol.com fiókot tesztelési célokra. Ha az SPF-ellenőrzés sikeres, az AOL kihagyhatja a DKIM-ellenőrzést. Ez érvényteleníti a tesztet.

• Nyissa meg az üzenetet, és nézze meg a fejlécet. Az üzenet fejlécének megtekintésére vonatkozó utasítások az üzenetkezelő ügyfélprogramtól függően változnak. Az üzenetfejlécek Outlook való megtekintésével kapcsolatos utasításokért lásd: Internetes üzenetfejlécek megtekintése Outlook.

  A DKIM által aláírt üzenet tartalmazni fogja a CNAME bejegyzések közzétételekor megadott állomásnevet és tartományt. Az üzenet az alábbi példához hasonlóan fog kinézni:

    From: Example User <example@contoso.com>
    DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
        s=selector1; d=contoso.com; t=1429912795;
        h=From:To:Message-ID:Subject:MIME-Version:Content-Type;
        bh=<body hash>;
        b=<signed field>;
  

• Keresse meg a Authentication-Results fejlécet. Bár minden fogadó szolgáltatás kissé eltérő formátumot használ a bejövő levelek bélyegzéséhez, az eredménynek tartalmaznia kell valami hasonlót, mint a DKIM=pass vagy a DKIM=OK.

A DKIM konfigurálása több egyéni tartományhoz

Ha a későbbiekben úgy dönt, hogy egy másik egyéni tartományt ad hozzá, és engedélyezni szeretné a DKIM-et az új tartományhoz, akkor minden egyes tartományhoz el kell végeznie a jelen cikkben szereplő lépéseket. Végezze el a DKIM manuális beállításához szükséges összes lépést.

Egyéni tartomány DKIM-aláírási szabályzatának letiltása

Az aláírási szabályzat letiltása nem tiltja le teljesen a DKIM-et. Egy idő elteltével Microsoft 365 automatikusan alkalmazza az alapértelmezett házirendet a tartományra, ha az alapértelmezett házirend továbbra is engedélyezett állapotban van. Ha teljesen le szeretné tiltani a DKIM-et, le kell tiltania a DKIM-et az egyéni és az alapértelmezett tartományokon is. További információ: DKIM és Microsoft 365 alapértelmezett viselkedése.

A DKIM aláírási szabályzatának letiltása a Windows PowerShell használatával

1. Csatlakozás a PowerShell Exchange Online.

2. Futtassa az alábbi parancsok egyikét minden olyan tartományhoz, amelynek le szeretné tiltani a DKIM-aláírást.

   $p = Get-DkimSigningConfig -Identity <Domain>
   $p[0] | Set-DkimSigningConfig -Enabled $false
   

   Például:

   $p = Get-DkimSigningConfig -Identity contoso.com
   $p[0] | Set-DkimSigningConfig -Enabled $false
   

   Vagy

   Set-DkimSigningConfig -Identity $p[<number>].Identity -Enabled $false
   

   Ahol a szám a szabályzat indexe. Például:

   Set-DkimSigningConfig -Identity $p[0].Identity -Enabled $false
   

A DKIM és a Microsoft 365 alapértelmezett viselkedése

Ha nem engedélyezi a DKIM-et, Microsoft 365 automatikusan létrehoz egy 2048 bites nyilvános DKIM-kulcsot a Microsoft Online e-mail útválasztási címéhez (MOERA)/kezdeti tartományához, valamint a társított titkos kulcsot, amelyet belsőleg tárolunk az adatközpontban. Alapértelmezés szerint Microsoft 365 alapértelmezett aláírási konfigurációt használ azokhoz a tartományokhoz, amelyek nem rendelkeznek házirenddel. Ez azt jelenti, hogy ha nem saját maga állítja be a DKIM-et, Microsoft 365 az alapértelmezett szabályzatot és az általa létrehozott kulcsokat fogja használni a DKIM tartományhoz való engedélyezéséhez.

Továbbá, ha az engedélyezés után letiltja a DKIM-aláírást az egyéni tartományon, egy idő után Microsoft 365 automatikusan alkalmazza a MOERA/kezdeti tartományházirendet az egyéni tartományra.

A következő példában tegyük fel, hogy a fabrikam.com DKIM-et nem a tartomány rendszergazdája, hanem Microsoft 365 engedélyezte. Ez azt jelenti, hogy a szükséges CNAME-k nem léteznek a DNS-ben. A tartományból származó e-mailek DKIM-aláírásai az alábbihoz hasonlóan fognak kinézni:

From: Second Example <second.example@fabrikam.com>
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
    s=selector1-fabrikam-com; d=contoso.onmicrosoft.com; t=1429912795;
    h=From:To:Message-ID:Subject:MIME-Version:Content-Type;
    bh=<body hash>;
    b=<signed field>;

Ebben a példában az állomásnév és a tartomány azokat az értékeket tartalmazza, amelyekre a CNAME mutatna, ha a tartományi rendszergazda engedélyezte volna fabrikam.com DKIM-aláírását. Végül minden Microsoft 365 küldött üzenet DKIM-aláírással lesz ellátva. Ha saját maga engedélyezi a DKIM-et, a tartomány megegyezik a Feladó: cím tartományával, ebben az esetben fabrikam.com. Ha nem, az nem fog igazodni, hanem a szervezet kezdeti tartományát fogja használni. A kezdeti tartomány meghatározásával kapcsolatos információkért tekintse meg a tartományokra vonatkozó gyakori kérdéseket.

Állítsa be a DKIM-et úgy, hogy egy külső szolgáltatás e-maileket küldjön vagy hamisítson az egyéni tartomány nevében

Egyes tömeges e-mail-szolgáltatók vagy szoftverszolgáltatók segítségével DKIM-kulcsokat állíthat be a szolgáltatásukból származó e-mailekhez. Ehhez saját maga és a külső fél közötti koordinációra van szükség a szükséges DNS-rekordok beállításához. Egyes külső kiszolgálók saját CNAME rekordokkal és különböző választókkal rendelkezhetnek. Nincs két szervezet pontosan így. Ehelyett a folyamat teljes mértékben a szervezettől függ.

A contoso.com és bulkemailprovider.com megfelelően konfigurált DKIM-et bemutató példaüzenet a következőképpen nézhet ki:

Return-Path: <communication@bulkemailprovider.com>
 From: <sender@contoso.com>
 DKIM-Signature: s=s1024; d=contoso.com
 Subject: Here is a message from Bulk Email Provider's infrastructure, but with a DKIM signature authorized by contoso.com

Ebben a példában az eredmény elérése érdekében:

1. A tömeges e-mail-szolgáltató nyilvános DKIM-kulcsot adott a Contosónak.

2. A Contoso közzétette a DKIM-kulcsot a DNS-rekordjában.

3. E-mail küldésekor a tömeges e-mail-szolgáltató aláírja a kulcsot a megfelelő titkos kulccsal. Ezzel a tömeges e-mail-szolgáltató csatolta a DKIM-aláírást az üzenet fejlécéhez.

4. A fogadó levelezőrendszerek DKIM-ellenőrzést végeznek a DKIM-Signature d=<domain> érték hitelesítésével a tartományon az üzenet Feladó: (5322.From) címében. Ebben a példában az értékek megegyeznek:

   sender@contoso.com

   d=contoso.com

Az e-mailt nem küldő tartományok azonosítása

A szervezeteknek explicit módon meg kell adniuk, ha egy tartomány nem küld e-mailt az adott tartományok DKIM-rekordjában való megadásával v=DKIM1; p= . Ez azt tanácsolja a levelezőkiszolgálóknak, hogy nincsenek érvényes nyilvános kulcsok a tartományhoz, és minden olyan e-mailt, amely az adott tartományból származik, el kell utasítani. Ezt minden tartományhoz és altartományhoz meg kell tennie egy helyettesítő karakteres DKIM használatával.

A DKIM-rekord például így néz ki:

*._domainkey.SubDomainThatShouldntSendMail.contoso.com. TXT "v=DKIM1; p="

Következő lépések: A DKIM beállítása után Microsoft 365

Bár a DKIM-et úgy tervezték, hogy megakadályozza a hamisítást, a DKIM jobban működik az SPF és a DMARC használatával.

Miután beállította a DKIM-et, ha még nem állította be az SPF-t, tegye meg. Az SPF gyors bemutatásáért és gyors konfigurálásához olvassa el az SPF beállítása az Microsoft 365-ban a hamisítás megelőzéséhez című témakört. A Microsoft 365 SPF használatával, illetve hibaelhárítással vagy nem szabványos telepítésekkel, például hibrid telepítésekkel kapcsolatos részletesebb információkért kezdje azzal, hogyan használja a Microsoft 365 a küldőszabályzat-keretrendszert (SPF) a hamisítás megakadályozására.

Ezután olvassa el a DMARC használata az e-mailek érvényesítéséhez című témakört. A levélszemét elleni üzenetfejlécek tartalmazzák az Microsoft 365 által a DKIM-ellenőrzésekhez használt szintaxist és fejlécmezőket.

Ez a teszt ellenőrzi , hogy a DKIM aláírási konfigurációja megfelelően van-e konfigurálva, és hogy a megfelelő DNS-bejegyzések közzé lettek-e téve.

Megjegyzés

A funkció használatához Microsoft 365 rendszergazdai fiók szükséges. Ez a funkció nem érhető el a Microsoft 365 Government, a 21Vianet Microsoft 365 vagy a németországi Microsoft 365 esetében.

Tesztek futtatása: DKIM

További információ

Kulcsrotálás a PowerShell-lel: Rotate-DkimSigningConfig

E-mailek ellenőrzése a DMARC segítségével

Megbízható ARC-feladók használata megbízható levélfolyamokhoz